LUKS2 再暗号化中のデータ保護のオプション

LUKS2 では、再暗号化プロセスで、パフォーマンスやデータ保護の優先度を設定する複数のオプショ

ンを選択できます。

checksum

これがデフォルトのモードです。データ保護とパフォーマンスのバランスを取ります。

このモードは、セクターの個々のチェックサムを再暗号化領域に保存するため、復旧プロセスで

は、LUKS2 がすでに再暗号化しているセクターを検出できます。このモードでは、ブロックデバイ

スセクターの書き込みがアトミックである必要があります。

journal

このモードが最も安全ですが、最も遅くなります。このモードは、バイナリー領域の再暗号化領域 をジャーナル化するため、LUKS2 はデータを 2 回書き込みます。

none

このモードはパフォーマンスを優先し、データ保護は提供しません。これは、SIGTERM シグナル

や、Ctrl+C を押すユーザーなど、安全なプロセス終了からのみデータを保護します。予期しないシ

ステムクラッシュやアプリケーションのクラッシュが発生すると、データが破損する可能性があり ます。

cryptsetup の --resilience オプションを使用してモードを選択できます。

LUKS2 の再暗号化プロセスが強制的に突然終了した場合、LUKS2 は以下のいずれかの方法で復旧を実

行できます。

自動的に実行 (LUKS2 デバイスの次回のオープン動作時)。この動作は、cryptsetup open コマ ンドまたは systemd-cryptsetup でデバイスを割り当てると発生します。

LUKS2 デバイスで cryptsetup repair コマンドを使用して手動で実行。

17.4. LUKS2 を使用したブロックデバイスの既存データの暗号化

この手順では、LUKS2 形式を使用して、暗号化されていないデバイスの既存データを暗号化します。

新しい LUKS ヘッダーは、デバイスのヘッドに保存されます。

前提条件 前提条件

ブロックデバイスにファイルシステムが含まれている。

データのバックアップを作成している。

警告 警告

ハードウェア、カーネル、または人的ミスにより、暗号化プロセス時に データが失われる場合があります。データの暗号化を開始する前に、信頼 性の高いバックアップを作成してください。

手順 手順

1. 暗号化するデバイスにあるファイルシステムのマウントをすべて解除します。以下に例を示し ます。

# umount /dev/sdb1

2. LUKS ヘッダーを保存するための空き容量を確認します。以下のいずれかのオプションを選択

します。

論理ボリュームを暗号化する場合は、以下のように、ファイルシステムのサイズを変更せ ずに、論理ボリュームを拡張できます。以下に例を示します。

# lvextend -L+32M vg00/lv00

parted などのパーティション管理ツールを使用してパーティションを拡張します。

このデバイスのファイルシステムを縮小します。ext2、ext3、または ext4 のファイルシス

テムには resize2fs ユーティリティーを使用できます。XFS ファイルシステムは縮小でき

ないことに注意してください。

3. 暗号化を初期化します。以下に例を示します。

# cryptsetup reencrypt \ --encrypt \ --init-only \

--reduce-device-size 32M \ /dev/sdb1 sdb1_encrypted

このコマンドを実行するとパスフレーズの入力が求められ、暗号化プロセスが開始します。

4. デバイスをマウントします。

# mount /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted 5. オンライン暗号化を開始します。

# cryptsetup reencrypt --resume-only /dev/sdb1

関連情報 関連情報



関連情報 関連情報

詳細は、man ページの cryptsetup(8)、lvextend(8)、resize2fs(8)、および parted(8) を参照し てください

17.5. 独立したヘッダーがある LUKS2 を使用してブロックデバイスの既存

データの暗号化

この手順では、LUKS ヘッダーを保存するための空き領域を作成せずに、ブロックデバイスの既存デー タを暗号化します。ヘッダーは、追加のセキュリティー層としても使用できる、独立した場所に保存さ れます。この手順では、LUKS2 暗号化形式を使用します。

前提条件 前提条件

ブロックデバイスにファイルシステムが含まれている。

データのバックアップを作成している。

警告 警告

ハードウェア、カーネル、または人的ミスにより、暗号化プロセス時に データが失われる場合があります。データの暗号化を開始する前に、信頼 性の高いバックアップを作成してください。

手順 手順

1. プールにあるファイルシステムのマウントをすべて解除します。以下に例を示します。

# umount /dev/sdb1 2. 暗号化を初期化します。

# cryptsetup reencrypt \ --encrypt \ --init-only \

--header /path/to/header \ /dev/sdb1 sdb1_encrypted

/path/to/header を、独立した LUKS ヘッダーのあるファイルへのパスに置き換えます。暗号 化したデバイスを後でアンロックできるように、接続解除した LUKS ヘッダーにアクセスでき る必要があります。

このコマンドを実行するとパスフレーズの入力が求められ、暗号化プロセスが開始します。

3. デバイスをマウントします。

# mount /dev/mapper/sdb1_encrypted /mnt/sdb1_encrypted 4. オンライン暗号化を開始します。



# cryptsetup reencrypt --resume-only --header /path/to/header /dev/sdb1

関連情報 関連情報

詳細は、man ページの cryptsetup(8) を参照してください。

17.6. LUKS2 を使用した空のブロックデバイスの暗号化

この手順では、LUKS2 形式を使用して空のブロックデバイスを暗号化する方法を説明します。

前提条件 前提条件

空のブロックデバイス。

手順 手順

1. 暗号化した LUKS パーティションとしてパーティションを設定します。

# cryptsetup luksFormat /dev/sdb1

2. 暗号化した LUKS パーティションを開きます。

# cryptsetup open /dev/sdb1 sdb1_encrypted

これにより、パーティションのロックが解除され、デバイスマッパーを使用して新しいデバイ スにマッピングされます。これは、デバイスデバイスが暗号化されたデバイスであり、暗号化された データを上書きしないように /dev/mapper/device_mapped_name を使用して LUKS を通じて アドレス指定する必要があることをカーネルに警告します。

3. パーティションに暗号化されたデータを書き込むには、デバイスをマッピングした名前でアク セスする必要があります。これを実行するには、ファイルシステムを作成する必要がありま す。以下に例を示します。

# mkfs -t ext4 /dev/mapper/sdb1_encrypted 4. デバイスをマウントします。

# mount /dev/mapper/sdb1_encrypted

関連情報 関連情報

詳細は、man ページの cryptsetup(8) を参照してください。